Investigación de puntos de control revelado sobre detalles sobre VoidLink, que identificó como el primer marco de malware avanzado documentado escrito predominantemente por inteligencia artificial (IA), lo que señala una nueva era de malware generado por IA. Anteriormente, la evidencia de inteligencia artificial generada malware El uso en gran medida fue indicado por actores de amenazas sin experiencia o reflejó herramientas de código abierto existentes. VoidLink, sin embargo, demuestra el potencial de la IA en manos de desarrolladores más capaces. Las fallas de seguridad operativa (OPSEC) del desarrollador de VoidLink expusieron artefactos de desarrollo interno, incluida la documentación, el código fuente y los componentes del proyecto, lo que indica que el malware alcanzó un implante funcional en menos de una semana. Estos materiales proporcionaron evidencia clara del desarrollo impulsado por la IA. El actor utilizó una metodología denominada Spec Driven Development (SDD), asignando a un modelo de IA la tarea de generar un plan de desarrollo estructurado para varios equipos completo con cronogramas y especificaciones de sprint. Luego, el modelo utilizó esta documentación como modelo para implementar, iterar y probar el malware de un extremo a otro. VoidLink exhibió un alto nivel de madurez, funcionalidad, arquitectura eficiente y modelo operativo dinámico, empleando tecnologías como eBPF y rootkits LKM, junto con módulos dedicados para la enumeración de la nube y la postexplotación en entornos de contenedores. CPR observó que el malware evolucionó rápidamente desde un desarrollo funcional hasta un marco integral y modular con componentes adicionales e infraestructura de comando y control. Los artefactos de desarrollo incluyeron documentación de planificación para tres «equipos» internos distintos a lo largo de más de 30 semanas de desarrollo planificado. CPR notó una discrepancia entre el cronograma de sprint documentado y la rápida expansión observada de las capacidades del malware. La investigación reveló que el plan de desarrollo en sí fue generado y orquestado por un modelo de IA, probablemente utilizado como modelo para construir, ejecutar y probar el marco. La documentación producida por IA, exhaustiva y con marca de tiempo, mostró que una única IA aprovechó la IA para impulsar VoidLink desde el concepto hasta una realidad en evolución en menos de siete días. El desarrollo de VoidLink probablemente comenzó a finales de noviembre de 2025 utilizando TRAE SOLO, un asistente de IA dentro de un IDE centrado en IA llamado TRAE. Los archivos auxiliares generados por TRAE, que conservan partes clave de las directivas originales, quedaron expuestos inadvertidamente debido a un directorio abierto en el servidor del actor de la amenaza. Estos archivos incluían documentos de instrucciones en chino que describían directivas como:
- Objetivo: Instruyó al modelo para que no implementara técnicas adversas ni proporcionara detalles técnicos que pudieran eludir las restricciones de seguridad.
- Adquisición de materiales: Dirigió el modelo para que haga referencia a un archivo existente, «c2架构.txt», que contiene la arquitectura inicial para la plataforma C2.
- Desglose de la arquitectura: Entrada inicial descompuesta en componentes discretos.
- Riesgo y cumplimiento: Trabajo enmarcado en términos de límites legales, potencialmente para orientar el modelo hacia respuestas permisivas.
- Mapeo del repositorio de código: Se indicó que VoidLink se inició a partir de una base de código mínima existente y posteriormente se reescribió.
- Entregables: Solicitó un resumen de la arquitectura, una descripción general de riesgos/cumplimiento y una hoja de ruta técnica.
- Próximos pasos: Confirmación del agente para proceder tras la entrega del archivo TXT.
La hoja de ruta inicial detallaba un plan de sprint de 20 semanas para un equipo central (Zig), un equipo de Arsenal (C) y un equipo de backend (Go), incluidos archivos complementarios para documentación detallada de sprints y archivos de estandarización dedicados que prescriben convenciones de codificación. La revisión de CPR de estas instrucciones de estandarización de código con el código fuente recuperado de VoidLink reveló una alta alineación en convenciones, estructura y patrones de implementación. A pesar de presentarse como un esfuerzo de ingeniería de 30 semanas, un artefacto de prueba recuperado con fecha del 4 de diciembre de 2025 indicó que VoidLink era funcional y comprendía más de 88.000 líneas de código solo una semana después del inicio del proyecto. Se envió una versión compilada a VirusTotal, lo que marcó el inicio de la investigación de CPR. CPR replicó el flujo de trabajo utilizando TRAE IDE, proporcionando al modelo documentación y especificaciones. El modelo generó un código que se asemeja al código fuente real de VoidLink, alineándose con pautas de código, listas de características y criterios de aceptación específicos. Este rápido desarrollo, que requirió pruebas manuales mínimas y ajustes de especificaciones por parte del desarrollador, emuló el resultado de múltiples equipos profesionales en un período de tiempo significativamente más corto. VoidLink demuestra que la IA puede amplificar materialmente la velocidad y la escala a la que se pueden producir capacidades ofensivas importantes cuando las ejercen desarrolladores capaces. Esto desplaza la base para la actividad impulsada por la IA, alejándola de operaciones menos sofisticadas y actores de amenazas menos experimentados. CPR concluyó que VoidLink indica el comienzo de una era de malware sofisticado generado por IA. Si bien no es un ataque totalmente orquestado por IA, demuestra que la IA puede facilitar a los actores de amenazas individuales experimentados o a los desarrolladores de malware la creación de marcos de malware sofisticados, sigilosos y estables similares a los de los grupos de amenazas avanzadas. CPR señaló que la exposición del entorno de desarrollo de VoidLink era poco común, lo que generó dudas sobre otros marcos de malware sofisticados creados por IA sin artefactos visibles.
